Nota: estoy publicando esto para un amigo mío que no habla inglés muy bien ... Bueno, yo tampoco soy tan bueno, ¡así que discúlpame por adelantado!
Mi amigo está desarrollando una aplicación para teléfonos inteligentes, y les gustaría tener algunos consejos para proteger las ID de la base de datos.
La única idea que tenemos hasta ahora consiste en:
- Todas las comunicaciones se realizan mediante cifrado asimétrico (clave privada en el servidor)
- Las credenciales se almacenan, se cifran, del lado del cliente y la clave de descifrado se almacena del lado del servidor
Cuando la aplicación necesite usar las credenciales, le pedirá al servidor la clave de descifrado.
¿Eso sería seguro?
¿No deberíamos autenticar al cliente? Supongo que si no lo hacemos, sería lo mismo que enviar la clave de descifrado como texto sin formato.